corsを有効にした時のリスク

誰を守るための機能か

cors制限があると，クライアントサイドで，同一ドメインでないとデータを取得できない

クライアントが踏み台になる可能性がある

ドメインをみて認証しようとしているサーバー側

こういう実装をしているところもあるかもしれない

サーバー側のホワイトリスト

意図しないドメインから呼び出されていないか

fetchで認証のcookieも飛ぶのか

これは怖い

cookieのsamesite設定でも制御できるみたい